Sécurité des points de vente (sécurité POS)

La sécurité des points de vente (sécurité POS) est l'étude des vulnérabilités des points de vente au détail et la prévention de l'accès par des parties non autorisées qui cherchent à y voler les détails des clients et des cartes de paiement. L'objectif de la sécurité des points de vente est de créer un environnement sûr pour les transactions des clients.

Les logiciels malveillants POS de type " memory scraping " sont une préoccupation majeure, car même les grands détaillants sont devenus la proie de cette méthode de vol de cartes de crédit. Les racleurs de mémoire accèdent aux données au moment de la transaction, lorsque les données de paiement ne sont pas encore non cryptées. Fin 2013, par exemple, des criminels ont utilisé une variante du racleur de mémoire Backoff pour accéder aux informations de plus de 70 000 comptes dans la base de données Target. 

Les systèmes d'exploitation obsolètes et non pris en charge constituent un grand risque car ils fournissent aux auteurs de logiciels malveillants davantage de vulnérabilités non corrigées. Les systèmes basés sur Windows XP encore utilisés dans de nombreux environnements de vente au détail sont vulnérables car ils ne disposent pas de certaines des fonctions de sécurité les plus avancées des versions plus récentes. Par souci de sécurité, les systèmes de point de vente ne devraient utiliser que des systèmes d'exploitation à jour et bien supportés.

L'accès physique aux systèmes de point de vente et les privilèges des utilisateurs devraient également être strictement gérés. Si, par exemple, un employé utilise un terminal de point de vente pour surfer sur le Web, il peut exposer le système à des risques de sécurité. Idéalement, le compte administratif devrait être rigoureusement protégé et les activités des autres utilisateurs strictement limitées.

L'isolement des systèmes POS sur un réseau réduit la surface d'attaque potentielle et rend les activités suspectes plus faciles à détecter. La mise en place d'une liste blanche peut également contribuer à sécuriser les systèmes de point de vente en limitant la communication aux seuls sites externes autorisés.